В подразделе журналирования («Система» - «Настройки» - «Журналирование») содержатся настройки, позволяющие управлять журналированием в системе.
Общие параметры журналирования:
«Обратный порядок отображения» – при включении данного параметра последние записи в журнале отображаются сверху списка;
«Размер журнала (байт)» – в поле существует возможность задать размер файлов журнала в диапазоне от 5120 до 100000000 байт, по умолчанию размер 500 Кб;
«Журнал веб-сервера» – при включении данного параметра ошибки веб-сервера, в том числе портала авторизации, будут записаны в главный системный журнал;
«Локальные записи» – при включении данного параметра запись журнала на локальный диск производиться не будет;
«Сброс записей» – при нажатии кнопки «Очистить файлы журналов» будет произведена очистка всех локальных журналов.
Для большинства журналов доступны:
возможность сохранения записей в текстовый файл с помощью кнопок:
«» – сохраняет записи журнала, представленные в данный момент в форме;
«» – сохраняет все записи журнала;
удаление записей с помощью кнопок «Очистить журнал» или «»;
Выбор регистрируемых событий для журналирования межсетевого экрана производится в подразделе журналирования («Система» - «Настройки» - «Журналирование») (см. Рисунок – Настройка журналирования).
В данном подразделе существует возможность выбрать события, генерируемые ARMA FW и подлежащие журналированию.
Выбор событий осуществляется установкой/снятием флажка напротив события, для применения изменения необходимо нажать кнопку «Сохранить». По умолчанию флажки установлены напротив всех событий.
Для включения журналирования действий пользователей необходимо перейти в подраздел администрирования ARMA FW («Система» - «Настройки» - «Администрирование») и поставить флажок в поле «Журнал доступа». Для сохранения изменений необходимо нажать кнопку «Сохранить».
Журнал отображает события МЭ в режиме реального времени в виде списка с динамическим изменением (см. Рисунок – Журнал событий МЭ в реальном времени). Блокированные пакеты выделяются красным цветом, разрешённые – зелёным.
Нажатие кнопки «» напротив записи откроет форму с дополнительной информацией о записи.
Журнал (см. Рисунок – Журнал событий МЭ, открытый вид) хранит в оригинальном формате, в виде одной текстовой строки, без дополнительной обработки, следующие события МЭ:
общие правила;
правила конкретных интерфейсов;
API правила;
автоматически генерируемые правила МЭ при включении отдельных опций веб-интерфейса.
При нажатии кнопки «Очистить журнал» в нижней части страницы будет предложено удалить весь журнал МЭ.
Подраздел содержит в себе следующие круговые диаграммы:
«Действия» – отображает процентное соотношение основных действий, которые были применены правилами: «pass» – разрешить / «block» («drop»/«reject») – блокировать;
«Интерфейсы» – отображает процентное соотношение интерфейсов, на которых срабатывали правила. На данной диаграмме возможно проанализировать, на каком интерфейсе правила срабатывают чаще;
«Протоколы» – отображает процентное соотношение протоколов, при работе которых были сработаны правила МЭ: UDP, TCP, ICMP, и т.д.;
«IP-адреса источника» – отображает процентное соотношение IP-адресов, с которых отправлялись пакеты, отмеченные в сработавшем правиле МЭ;
«IP-адреса назначения» – отображает процентное соотношение IP-адресов, для которых отправлялись пакеты, отмеченные в сработавшем правиле МЭ;
«Порты источника» – отображает процентное соотношение портов источников, с которых отправлялись пакеты, отмеченные в сработавшем правиле МЭ;
«Порты назначения» – отображает процентное соотношение портов назначения, для которых отправлялись пакеты, отмеченные в сработавшем правиле МЭ.
Журнал (см. Рисунок – Журнал ошибок работы сигнатур СОВ) расположен на вкладке «Журналирование» подраздела администрирования СОВ («Обнаружение вторжений» - «Администрирование») и разделён на две части:
«Журнал СОВ» – хранит записи, содержащие ошибки и предупреждения ПО «Suricata» о невозможности запустить или включить какие-либо сигнатуры с указанием причины;
«Журнал загрузки правил» – хранит записи, содержащие ошибки и предупреждения загрузки правил СОВ.
Переключение происходит в выпадающем списке в верхней части формы подраздела. Также в верхней части формы подраздела находятся форма поиска и выпадающий список выбора уровня сообщений.
При нажатии кнопки «Очистить журнал» в нижней части формы будет предложено удалить весь журнал МЭ.
Журнал (см. Рисунок – Журнал предупреждений СОВ) хранит записи о срабатывании правилах СОВ.
Журнал расположен в подразделе предупреждений СОВ («Обнаружение вторжений» - «Предупреждения (Alerts)»).
В информационном окне, сработавшего пользовательского правила СОВ, дополнительно отображается кнопка «Перейти в правило», нажатием на которую возможно выполнить переход к форме редактирования правила.
В случае необходимости экспорта журнала предупреждений СОВ следует в зависимости от требуемого формата:
нажать кнопку «» – для экспорта файла с расширением «csv»;
нажать кнопку «» – для экспорта файла с расширением «pdf», содержащегося в архиве с расширением «zip».
Для корректного отображения журнала с расширением «csv» в «MS Office Excel» следует импортировать журнал в качестве внешних данных из текста, указывая формат файла «65001 : Юникод (UTF-8)» и разделитель «точка с запятой».
Для очистки фильтра «Поиск» необходимо удалить значение из поля данного фильтра и нажать кнопку «Применить».
Фильтры «Механизм», «Отправитель», «Получатель», «Действие», «Описание», «Имя пользователя» позволяют отобразить записи событий, информация о которых в соответствующих столбцах, будет содержать искомое значение.
Для очистки поля фильтра «Диапазон дат» необходимо нажать ЛКМ на поле фильтра «Диапазон дат», нажать в появившейся форме кнопку «Очистить» и нажать кнопку «Применить».
Журнал (см. Рисунок – Журнал статической маршрутизации) хранит записи, содержащие сообщения от протоколов маршрутизации ZEBRA, OSPF/OSPF6, RIP, а также от других сервисов, работающих со статическими маршрутами сети, например, radvd и rtsold.
Журнал расположен в подразделе журналирования маршрутизации («Система» - «Маршруты» - «Журнал»).
Основой работы данного журнала является ПО Quagga. По умолчанию ведение данного журнала выключено.
Журнал (см. Рисунок – Журнал динамической маршрутизации) хранит записи, содержащие сообщения от протоколов маршрутизации ZEBRA, OSPF/OSPF6, RIP, задействованных в процессе динамической маршрутизации, следующих типов:
hello-сообщения от ZEBRA и другие сообщения протокола ZEBRA;
запуск, остановка или перезагрузка сервиса quagga (frr).
Журнал расположен в подразделе журналирования маршрутизации («Маршрутизация» - «Диагностика» - «Журналирование»).
Для включения наполнения журнала необходимо перейти в подраздел общих настроек маршрутизации («Маршрутизация» - «Общие настройки»), установить флажки для параметров «Включить» и «Создание файла журнала» и нажать кнопку «Сохранить».
Журнал (см. Рисунок – Журнал портала авторизации) хранит записи, содержащие информацию о работе сервиса Captive Portal, отвечающего за работу портала авторизации. В журнале представлены следующие типы событий:
сообщение об отсутствии у пользователя доступа к определённому URL;
запуск, остановка или перезагрузка сервиса;
ошибки сервиса.
Журнал расположен в подразделе журналирования портала авторизации («Службы» - «Портал авторизации» - «Журнал»).
Журнал (см. Рисунок – Журнал хранения) хранит записи, содержащие информацию об объектах кэша, как хранящихся в данный момент на диске, так и удалённых.
Журнал расположен в подразделе журналирования прокси («Службы» - «Веб-прокси» - «Журнал хранения»).
» – сохраняет записи журнала, представленные в данный момент в форме;
» – сохраняет все записи журнала;
»;
» напротив записи откроет форму с дополнительной информацией о записи.
», напротив сообщения о срабатывании правила СОВ, появится информационное окно (см. Рисунок – Информация о предупреждении).
» – для экспорта файла с расширением «csv»;
» – для экспорта файла с расширением «pdf», содержащегося в архиве с расширением «zip».
» дополнительно появятся поля для ввода значений следующих фильтров:
